Në këtë artikull do t'i kushtojmë vëmendje konceptit të "inxhinierisë sociale". Këtu do të shqyrtohet një përkufizim i përgjithshëm i termit. Do të mësojmë gjithashtu se kush ishte themeluesi i këtij koncepti. Le të flasim veçmas për metodat kryesore të inxhinierisë sociale të përdorura nga sulmuesit.
Hyrje
Metodat që ju lejojnë të korrigjoni sjelljen e një personi dhe të menaxhoni aktivitetet e tij pa përdorimin e një grupi teknik mjetesh formojnë konceptin e përgjithshëm të inxhinierisë sociale. Të gjitha metodat bazohen në pohimin se faktori njerëzor është dobësia më shkatërruese e çdo sistemi. Shpesh ky koncept konsiderohet në nivelin e veprimtarisë së paligjshme, përmes së cilës krimineli kryen një veprim që synon marrjen e informacionit nga subjekti-viktima në mënyrë të pandershme. Për shembull, mund të jetë një lloj manipulimi. Sidoqoftë, inxhinieria sociale përdoret gjithashtu nga njerëzit në aktivitete legjitime. Deri më sot, përdoret më shpesh për të hyrë në burime me informacione të ndjeshme ose të ndjeshme.
Themelues
Themeluesi i inxhinierisë sociale është Kevin Mitnick. Sidoqoftë, vetë koncepti na erdhi nga sociologjia. Ai tregon një grup të përgjithshëm qasjesh të përdorura nga shoqëria e aplikuar. shkencat e fokusuara në ndryshimin e strukturës organizative që mund të përcaktojë sjelljen njerëzore dhe të ushtrojë kontroll mbi të. Kevin Mitnick mund të konsiderohet themeluesi i kësaj shkence, pasi ishte ai që popullarizoi shoqërinë. inxhinieri në dekadën e parë të shekullit të 21-të. Vetë Kevin ishte më parë një haker që hyri ilegalisht në një shumëllojshmëri të gjerë të bazave të të dhënave. Ai argumentoi se faktori njerëzor është pika më e cenueshme e një sistemi të çdo niveli kompleksiteti dhe organizimi.
Nëse flasim për metodat e inxhinierisë sociale si një mënyrë për të marrë të drejta (shpesh të paligjshme) për përdorimin e të dhënave konfidenciale, mund të themi se ato njihen për një kohë shumë të gjatë. Megjithatë, ishte K. Mitnick ai që mundi të përcillte rëndësinë e kuptimit dhe veçorive të zbatimit të tyre.
Phishing dhe lidhje joekzistente
Çdo teknikë e inxhinierisë sociale bazohet në praninë e shtrembërimeve kognitive. Gabimet e sjelljes bëhen një "mjet" në duart e një inxhinieri të aftë, i cili në të ardhmen mund të krijojë një sulm që synon marrjen e të dhënave të rëndësishme. Ndër metodat e inxhinierisë sociale, dallohen phishing dhe lidhjet joekzistente.
Phishing është një mashtrim në internet i krijuar për të marrë informacione personale si emri i përdoruesit dhe fjalëkalimi.
Lidhje joekzistente - duke përdorur një lidhje që do të joshë marrësin me disapërfitimet që mund të merren duke klikuar mbi të dhe duke vizituar një faqe specifike. Më shpesh, emrat e kompanive të mëdha përdoren, duke bërë rregullime delikate në emrin e tyre. Viktima, duke klikuar në lidhjen, do t'i transferojë "vullnetarisht" të dhënat e saj personale sulmuesit.
Metodat duke përdorur marka, antivirusë me defekt dhe një lotari të rreme
Inxhinieria sociale përdor gjithashtu mashtrime me emra të markave, antivirusë me defekt dhe llotari të rreme.
"Mashtrimi dhe markat" - një metodë mashtrimi, e cila gjithashtu i përket seksionit të phishing. Këtu përfshihen emailet dhe faqet e internetit që përmbajnë emrin e një kompanie të madhe dhe/ose të "hiped". Nga faqet e tyre dërgohen mesazhe me njoftimin e fitores në një konkurs të caktuar. Më pas, duhet të futni informacione të rëndësishme të llogarisë dhe t'i vidhni ato. Gjithashtu, kjo formë mashtrimi mund të kryhet me telefon.
Lotaria e rreme - një metodë në të cilën viktimës i dërgohet një mesazh me tekstin se ai (a) fitoi (a) lotarinë. Më shpesh, alarmi maskohet duke përdorur emrat e korporatave të mëdha.
Antiviruset e rreme janë mashtrime me softuer. Ai përdor programe që duken si antivirus. Megjithatë, në realitet, ato çojnë në gjenerimin e njoftimeve të rreme për një kërcënim të veçantë. Ata gjithashtu përpiqen të joshin përdoruesit në fushën e transaksioneve.
Vishing, sharje dhe pretekst
Ndërsa flasim për inxhinierinë sociale për fillestarët, duhet të përmendim gjithashtu vishing, phreaking dhe pretekst.
Vishing është një formë mashtrimi që përdor rrjetet telefonike. Ai përdor mesazhe zanore të regjistruara paraprakisht, qëllimi i të cilave është rikrijimi i “thirrjes zyrtare” të strukturës bankare apo çdo sistemi tjetër IVR. Më shpesh, atyre u kërkohet të fusin një emër përdoruesi dhe / ose fjalëkalim për të konfirmuar çdo informacion. Me fjalë të tjera, sistemi kërkon vërtetim nga përdoruesi duke përdorur kodet PIN ose fjalëkalimet.
Phreaking është një formë tjetër mashtrimi telefonik. Është një sistem hakerimi që përdor manipulimin e zërit dhe formimin e zërit.
Pretekstimi është një sulm duke përdorur një plan të paramenduar, thelbi i të cilit është të përfaqësosh një subjekt tjetër. Një mënyrë jashtëzakonisht e vështirë për të tradhtuar, pasi kërkon përgatitje të kujdesshme.
Quid Pro Quo dhe Metoda e Apple Rrugore
Teoria e inxhinierisë sociale është një bazë të dhënash shumëplanëshe që përfshin të dyja metodat e mashtrimit dhe manipulimit, si dhe mënyrat për t'u marrë me to. Detyra kryesore e ndërhyrësve, si rregull, është të nxjerrin informacione të vlefshme.
Llojet e tjera të mashtrimeve përfshijnë: quid pro quo, mollë në rrugë, surfing me shpatulla, burim të hapur dhe media sociale të kundërta. inxhinieri.
Quid-pro-quo (nga latinishtja - "për këtë") - një përpjekje për të nxjerrë informacion nga një kompani ose firmë. Kjo ndodh duke e kontaktuar atë me telefon ose duke dërguar mesazhe me e-mail. Më shpesh, sulmuesitpretendojnë të jenë punonjës. mbështetje, të cilat raportojnë praninë e një problemi specifik në vendin e punës të punonjësit. Më pas ata sugjerojnë mënyra për ta rregulluar atë, për shembull duke instaluar softuer. Softueri rezulton të jetë me defekt dhe promovon krimin.
Molla Rrugore është një metodë sulmi që bazohet në idenë e një kali trojan. Thelbi i tij qëndron në përdorimin e një mediumi fizik dhe zëvendësimin e informacionit. Për shembull, ata mund të ofrojnë një kartë memorie me një "të mirë" të caktuar që do të tërheqë vëmendjen e viktimës, do të shkaktojë dëshirën për të hapur dhe përdorur skedarin ose për të ndjekur lidhjet e treguara në dokumentet e flash drive. Objekti "molla e rrugës" hidhet në vende sociale dhe pritet derisa plani i ndërhyrës të zbatohet nga ndonjë subjekt.
Mbledhja dhe kërkimi i informacionit nga burime të hapura është një mashtrim në të cilin marrja e të dhënave bazohet në metodat e psikologjisë, aftësinë për të vërejtur gjëra të vogla dhe analizën e të dhënave të disponueshme, për shembull, faqet nga një rrjet social. Kjo është një mënyrë mjaft e re e inxhinierisë sociale.
Sërfimi i shpatullave dhe i kundërt social. inxhinieri
Koncepti i "sërfimit të shpatullave" përkufizohet si shikimi i një subjekti drejtpërdrejt në kuptimin e mirëfilltë. Me këtë lloj peshkimi të dhënash, sulmuesi shkon në vende publike, si kafene, aeroport, stacion treni dhe ndjek njerëzit.
Mos e nënvlerësoni këtë metodë, pasi shumë sondazhe dhe studime tregojnë se një person i vëmendshëm mund të marrë shumë konfidencialeinformacion thjesht duke qenë i vëmendshëm.
Inxhinieria sociale (si një nivel i njohurive sociologjike) është një mjet për të "kapur" të dhëna. Ka mënyra për të marrë të dhëna në të cilat vetë viktima do t'i ofrojë sulmuesit informacionin e nevojshëm. Megjithatë, mund t'i shërbejë edhe të mirës së shoqërisë.
Reverse social inxhinieria është një metodë tjetër e kësaj shkence. Përdorimi i këtij termi bëhet i përshtatshëm në rastin që përmendëm më lart: vetë viktima do t'i ofrojë sulmuesit informacionin e nevojshëm. Kjo deklaratë nuk duhet marrë si absurde. Fakti është se subjektet e pajisura me autoritet në fusha të caktuara të veprimtarisë shpesh marrin akses në të dhënat e identifikimit me vendimin e vetë subjektit. Baza këtu është besimi.
E rëndësishme për t'u mbajtur mend! Stafi mbështetës nuk do t'i kërkojë kurrë përdoruesit një fjalëkalim, për shembull.
Informacion dhe mbrojtje
Trajnimi i inxhinierisë sociale mund të bëhet nga individi ose në bazë të iniciativës personale ose në bazë të përfitimeve që përdoren në programe të veçanta trajnimi.
Kriminelët mund të përdorin një shumëllojshmëri të gjerë të llojeve të mashtrimit, duke filluar nga manipulimi te dembelizmi, mendjemprehtësia, mirësjellja e përdoruesit, etj. Është jashtëzakonisht e vështirë të mbroheni nga ky lloj sulmi, për shkak të mungesës së viktimës vetëdija se ai) mashtroi. Firma dhe kompani të ndryshme për të mbrojtur të dhënat e tyre në këtë nivel rreziku shpesh angazhohen në vlerësimin e informacionit të përgjithshëm. Hapi tjetër është të integroni të nevojshmetmasa mbrojtëse ndaj politikës së sigurisë.
Shembuj
Një shembull i inxhinierisë sociale (veprimi i tij) në fushën e postimeve globale të phishing është një ngjarje që ndodhi në 2003. E-mail u dërguan përdoruesve të eBay gjatë këtij mashtrimi. Ata pretenduan se llogaritë që i përkisnin ishin bllokuar. Për të anuluar bllokimin, ishte e nevojshme të rifusni të dhënat e llogarisë. Megjithatë, letrat ishin të rreme. Ata u përkthyen në një faqe identike me atë zyrtare, por false. Sipas vlerësimeve të ekspertëve, humbja nuk ishte shumë e rëndësishme (më pak se një milion dollarë).
Përkufizimi i përgjegjësisë
Përdorimi i inxhinierisë sociale mund të dënohet në disa raste. Në një numër vendesh, si Shtetet e Bashkuara, preteksti (mashtrimi duke imituar një person tjetër) barazohet me një pushtim të privatësisë. Megjithatë, kjo mund të dënohet me ligj nëse informacioni i marrë gjatë pretekstimit ishte konfidencial nga pikëpamja e subjektit ose organizatës. Regjistrimi i një bisede telefonike (si një metodë e inxhinierisë sociale) kërkohet gjithashtu me ligj dhe kërkon gjobë prej 250,000 dollarë ose burgim deri në dhjetë vjet për individët. persona. Personat juridikë u kërkohet të paguajnë 500,000 dollarë; afati mbetet i njëjtë.